비트멕스 “이용자 이메일 유출 사과”…후속조치 살펴보니

글로벌 비트코인 파생상품 거래소 비트멕스가 지난 1일 벌어진 이용자 이메일 계정 유출 사고에 대해 사과했다. 개인정보 유출 이후 의심스러운 활동이 감지되는 계정을 모니터링하고, 2단계 인증 장치(2FA)가 설정되지 않은 모든 이용자 계정을 강제로 재설정 조치했다고도 알렸다.

10일 비트멕스는 이메일을 통해 ‘이용자 이메일 주소 노출에 대한 중요 공지사항’을 전했다. 이 업체는 “지난 1일 일부 이용자들이 타 이용자의 이메일 주소가 참조(cc)된 이메일을 받았다”며 “해당 이메일을 수신한 모든 사용자에게 진심으로 사과의 말을 전한다”고 밝혔다.  

관련 기사 : ‘또’ 터진 코인거래소 개인정보 유출…이번엔 비트멕스 사용자 이메일

비트멕스 측은 “모든 이메일은 ‘support@bitmex.com’ 및 ‘noreply@bitmex.com’을 통해서만 전송된다”며 “고객 송금이나 비밀번호 등을 요구하지 않는다”고 주의를 당부하기도 했다. 이용자 이메일 계정이 노출된 후 발생할 수 있는 피싱을 우려한 조치다.

메일에 따르면 비트멕스에서 이메일 정보가 유출된 경위는 다음과 같다. 

지난 1일 비트멕스는 거래 지수(Index) 관련 변경사항을 공지했다. 해당 플랫폼에서 이뤄지는 모든 거래 가격에 영향을 미치는 사안이라 전체 이용자에게 관련 이메일을 보내야 했는데, 1000개 주소 단위로 이메일을 발송하는 과정에서 사내 시스템에 대한 품질 보증을 거치지 않았다. 2017년 이후 이와 같은 대규모 발송을 진행한 적이 없던 데다 이번에 새로 수정한 시스템(단일 SendGrid API calls)에 대한 테스트가 부재했다는 것이다. 코드 변경에 대한 검토를 받지 않은 프로세스에 문제가 있었다는 게 비트멕스 측의 설명이다. 

이번 사태 이후 비트멕스는 의심스러운 활동이 감지되는 계정을 식별하는 패턴 모니터링을 강화했다. 또한 “비트멕스 이메일 주소를 수집해 손상하려는 시도가 분명해지자 사측에서 2FA가 활성화하지 않은 채 잔고가 있는 모든 이용자에 대해 암호를 강제 재설정했다”며 “영향을 받은 이용자에게는 최초 오류에 대한 Q&A 검토를 거쳐 이메일을 통해 통지했다”고 전했다.

썸네일 출처 : 블록인프레스